Coup de tonnerre à Bruxelles. La Cour de justice européenne vient d’annoncer que l’accord dit Privacy Shield (le bouclier de protection des données entre l'UE et les États-Unis) est désormais caduque. Validé le 12 juillet 2016 par la Commission européenne pour assurer la protection des données personnelles et la sécurisation des équipements Iot industriels, ce cadre juridique, qui était une nouvelle version du Safe Harbor, encadrait le transfert de données entre l’Europe et les États-Unis. Lors de la négociation du Privacy Shield, qui permet notamment aux entreprises comme Apple, Google, Facebook ou encore Microsoft de transférer les informations personnelles de citoyens européens aux États-Unis, l'Union européenne avait exigé des États-Unis qu’ils garantissent un droit à la vie privée pour les données des étrangers traitées sur le sol américain. Ces transferts sont interdits par la législation européenne sur la protection de la vie privée, sauf si le pays de destination des données respecte un niveau de protection de la vie privée au moins égal à celui exigé par la législation de l’UE avec le RGPD.

Le Privacy Shield était toutefois loin de faire l’unanimité. Le parlement européen, dans son ensemble, la CNIL et plusieurs associations pointaient les lacunes de cet accord notamment sur l'accès des autorités publiques aux données transférées vers les États-Unis. En effet, selon les autorités nationales de protection des données (comme la CNIL en France), les garanties ne sont pas assez strictes concernant l'indépendance et les pouvoirs du médiateur américain (sera-t-il vraiment indépendant des services de renseignement ?) et le manque d’assurances concrètes sur la collection en masse et systématique de données personnelles. Enfin, sur les aspects commerciaux, les associations regrettent le manque de règles spécifiques sur les décisions basées sur un traitement automatisé des données et l'absence d'un droit général d'opposition. 

De multiples recours contre le Privacy Shield

Dans sa décision prise suite au recours Facebook Ireland et Schrems, le Tribunal européen souligne que « le règlement général relatif à la protection des données dispose que le transfert de telles données vers un pays tiers ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à ces données. […] Quant à l’exigence de protection juridictionnelle, la Cour juge que, contrairement à ce que la Commission a considéré dans la décision 2016/1250, le mécanisme de médiation visé par cette décision ne fournit pas à ces personnes une voie de recours devant un organe offrant des garanties substantiellement équivalentes à celles requises en droit de l’Union, de nature à assurer tant l’indépendance du médiateur prévu par ce mécanisme que l’existence de normes habilitant ledit médiateur à adopter des décisions contraignantes à l’égard des services de renseignement américains. Pour toutes ces raisons, la Cour déclare la décision 2016/1250 invalide ».

La Commission européenne va donc devoir renégocier un accord pour l’échange de données transatlantique en s’assurant que les droits des citoyens européens sont bien respectés, notamment dans le cadre du RGPD. Les dernières décisions de le gouvernement américain, et notamment  le décret limitant la protection de la vie privée des étrangers signé par Donald Trump, vient compliquer les négociations. La surveillance généralisée des étrangers est donc cette fois au coeur du problème des données collectées massivement par les Gafam et insidieusement mises à la disposition des autorités américaines si elles le demandent pour des questions de sécurité nationale.